Lanner’ın ana kart yönetim denetleyicisi (BMC) ürün yazılımında, operasyonel teknoloji (OT) ve nesnelerin interneti (IoT) ağlarını uzaktan saldırılara maruz bırakabilecek bir düzineden fazla güvenlik açığı keşfedildi.
BMC, sunucu anakartlarında bulunan ve bir ana bilgisayar sisteminin uzaktan izlenmesi ve yönetimi için kullanılan ve aşağıdakiler gibi düşük seviyeli sistem işlemlerinin gerçekleştirilmesi dahil olmak üzere özel bir hizmet işlemcisi olan bir çip üzerinde sistem (SoC) anlamına gelir. bellenim yanıp sönüyor ve güç kontrolü.
Bir Akıllı Platform Yönetim Arayüzünü analiz eden Nozomi Ağları (IPMC) Tayvanlı satıcı Lanner Electronics’ten, etkileyen 13 zayıflığı ortaya çıkardığını söyledi. IAC-AST2500.
1.00.0 sürümünü etkileyen CVE-2021-4228 dışında, tüm sorunlar standart üretici yazılımının 1.10.0 sürümünü etkiler. Kusurlardan dördü (CVE-2021-26727’den CVE-2021-26730’a kadar) CVSS puanlama sisteminde 10 üzerinden 10 olarak derecelendirildi.
Endüstriyel güvenlik şirketi özellikle, web arayüzündeki bir erişim kontrol hatası olan CVE-2021-44467’nin, kök ayrıcalıklarıyla BMC’de uzaktan kod yürütülmesini sağlamak için bir arabellek taşma kusuru olan CVE-2021-26728 ile zincirlenebileceğini buldu. .
Şirket, “Ayrıca, tüm işlemlerin cihazda kök ayrıcalıklarıyla çalıştığı düşünüldüğünde, birleşik zayıflıklar, kimliği doğrulanmamış bir saldırganın hem BMC’yi hem de yönetilen ana bilgisayarı tamamen tehlikeye atmasına olanak tanıyor” dedi. söz konusu geçen hafta yayınlanan bir yazıda.
Lanner, o zamandan beri sorumlu ifşanın ardından söz konusu güvenlik açıklarını gideren güncellenmiş bir üretici yazılımı yayınladı.
Araştırmacılar, “BMC’ler, BT’de olduğu kadar OT/IoT alanında da fiziksel erişim gerektirmeden bilgisayar sistemlerini uygun bir şekilde izlemek ve yönetmek için çekici bir yol sunuyor” dedi.
“Yine de, kullanılabilirlikleri daha geniş bir saldırı yüzeyi pahasına geliyor ve bu, yeterince korunmadıkları takdirde genel riskin artmasına neden olabilir.”